當我們瀏覽網站時，為了可以提供使用者更好的體驗，瀏覽器會利用 Cookie 紀錄瀏覽喜好、自動填入表單資訊等。但跨站腳本攻擊（Cross-Site Scripting, XSS）就會在這個時候下手，在你不注意的時候竊取你的資料。

當我們進入到一個留言板或是論壇時，如果遇到駭客的惡意留言，而且這個留言不是可見的，而是一串程式執行碼，會直接竊取你 Cookie 中儲存的資料，如果管理者沒有發現，這樣隱形的攻擊就會一直留在網站上（攻擊有時候呈現的方式，還會是一個彈跳視窗，或是自動轉址）。

另外一種攻擊方法是，駭客會引誘你點擊惡意網址，當使用者一點及，惡意的程式碼就會傳輸到你的網路伺服器中，再返回到使用者的瀏覽器執行，這種攻擊方法厲害的地方是，他不會在原來的網站伺服器留下痕跡，而且可以成功攻擊。

如果有遇到這樣的情況時，要趕快關掉頁籤、清除瀏覽器資料，趕快使用防毒軟體看看有沒有被安裝惡意程式，如果可以用其他信任的裝置改掉重要的登入資訊。

如果跟公司團隊要防禦 XSS 的攻擊，會需要寫一段程式去主動檢查使用者輸入的資料，是否帶有惡意的意圖，檢查完後才能存進資料庫中。

如果惡意程式已經被存進資料庫中，也可以設定程式在顯示資料時，將任合可疑的符號轉換為純文字，而是一段指令。

最後，也可以藉由程式告訴瀏覽器，這個網站只允許執行來自自己伺服器的指令，其他地方的指令都不能執行，像這樣多方面的防禦機制，才能爲自己的網站多一層安全防護。